Observa-se que os três Info-Stealers que mais afetam a nossa região são RedLine, Raccoon e Lumma. Embora esses malwares compartilhem o mesmo objetivo de roubar credenciais e informações, apresentam diferenças nos seus métodos de infecção, nos tipos de dados que extraem e na capacidade de evasão.
A seguir, analisaremos detalhadamente cada um deles.
RedLine
Na imagem anterior, podemos observar que o Redline (em azul) é frequente nessa região. Fonte: McAfee
Trata-se de um malware do tipo Info-Stealer, disponível para aquisição em fóruns de cibercriminosos. Uma vez adquirido, os criminosos o distribuem às vítimas através de sites fraudulentos que imitam a identidade de um software legítimo, como clientes de VPN ou conversores de arquivos online. Nas versões mais recentes, esse malware também foi detectado em jogos que se passam por versões originais.
(Acesso livre, não requer assinatura)
Quando o usuário executa o malware no seu computador, este software malicioso começa a realizar suas atividades. Primeiro, faz uma análise anti-forense do sistema infectado para evitar ser detectado e analisado. Em seguida, comunica-se com o servidor de comando e controle (C2), que indica as ações que devem ser realizadas na máquina vítima.
A seguir, o malware procede à extração de dados sensíveis do usuário que incluem:
Informações sobre o sistema da vítima.
Credenciais, cookies, cartões de crédito e links para redes sociais nos navegadores da vítima.
Dados de clientes FTP (FileZilla, WinSCP).
Dados de clientes de mensageria instantânea.
Carteiras de criptomoedas.
Arquivos específicos solicitados pelo Command and Control.
Uma vez que o malware coleta as informações desejadas, as ofusca (disfarça) e as protege com criptografia antes de enviá-las para os servidores de comando e controle do cibercriminoso.
Quando o usuário executa o malware no seu computador, este software malicioso começa a realizar suas atividades. Primeiro, faz uma análise anti-forense do sistema infectado para evitar ser detectado e analisado. Em seguida, comunica-se com o servidor de comando e controle (C2), que indica as ações que devem ser realizadas na máquina vítima.
A seguir, o malware procede à extração de dados sensíveis do usuário que incluem:
Informações sobre o sistema da vítima.
Credenciais, cookies, cartões de crédito e links para redes sociais nos navegadores da vítima.
Dados de clientes FTP (FileZilla, WinSCP).
Dados de clientes de mensageria instantânea.
Carteiras de criptomoedas.
Arquivos específicos solicitados pelo Command and Control.
Uma vez que o malware coleta as informações desejadas, as ofusca (disfarça) e as protege com criptografia antes de enviá-las para os servidores de comando e controle do cibercriminoso.
As primeiras versões desse malware foram observadas em 2019 em fóruns de cibercriminosos, onde eram oferecidas como Malware a Service (MaaS). Apesar de o principal desenvolvedor ter sido preso e sua infraestrutura desmanchada, em 2023 ele reapareceu com uma nova versão, disponível por assinatura em fóruns ilegais.
As características desse malware são:
Suporte para roubo de informações de mais de 60 aplicativos.
Não realiza análises antiforenses.
Oferece interface para busca de credenciais por parte dos assinantes.
Comunicação criptografada com o comando e controle.
Suporta o roubo de uma ampla gama de carteiras de criptomoedas.
Realiza captura de telas e obtém informações das teclas pressionadas pela vítima (função keylogger).
Painel com credenciais obtidas pelo Malware. Fonte: Socradar.
Este Info-Stealer tem a capacidade de excluir os arquivos baixados durante sua infecção, após a realização da atividade ordenada pelo comando e controle.
Lumma
Este malware do tipo Info-Stealer, surgido no início de 2023, destaca-se pela sua poderosa capacidade de se proteger contra análises por meio de técnicas avançadas de ofuscação e medidas antiforenses. Assim como versões anteriores, é comercializado em fóruns de cibercriminosos e em vários grupos do Telegram. Sua grande capacidade de modificação, combinada com a ausência de dependências do sistema afetado, lhe permite driblar eficazmente a detecção por parte de sistemas de segurança, como os antivírus. O modelo de negócio dos criadores é baseado em assinaturas dos dados coletados pelo malware com pagamentos periódicos.
Para a propagação deste malware entre suas vítimas, os cibercriminosos utilizam software pirateado (cracked software), ou seja, aplicativos fraudulentos que permitem usar de forma gratuita um software licenciado. Os criminosos escondem o malware dentro do software pirata, que é instalado ao mesmo tempo em que o usuário executa o software pirateado. Outro vetor de ataque são as mensagens via redes sociais e campanhas de phishing direcionados (spear phishing).
Principio del formulario
Final del formulario
Dentre os dados coletados das vítimas e enviados para o seu comando e controle, estão:
Carteiras de criptomoedas.
Carteiras hospedadas em extensões de navegadores.
Perfil de usuário em navegadores.
Cookies de sessão.
Credenciais salvas em navegadores.
Oferece a possibilidade de extrair dados de segundo fator de autenticação em extensões de navegadores.
Realiza capturas de tela.
Captura informações do sistema operacional.
Reflexões Finais
Embora o software malicioso evolua constantemente em resposta a novas medidas de proteção, as boas práticas no uso de tecnologias da informação continuam sendo nossa melhor defesa contra a maioria dos ataques cibernéticos. O principal vetor de ataque continua sendo o fator humano, por falta de formação ou excesso de confiança em fontes ilegítimas.
Manter-se alerta contra aos golpes de engenharia social, evitar a instalação de software de procedência duvidosa e acionar o segundo fator de autenticação são medidas fundamentais para reduzir significativamente o risco de ser vítima desses ataques.
